Foto: AFP PHOTO / Andrew Caballero-Reynolds

Uber verschwieg Diebstahl der Daten von über 50 Millionen Kunden

21. November 2017, 23:55

100.000 Dollar Schweigegeld an Hacker gezahlt – Keine Kreditkartendaten oder Informationen gestohlen

Dem Fahrdienstvermittler Uber sind bereits vor gut einem Jahr Daten von rund 50 Millionen Fahrgästen gestohlen worden. Das skandalgeschüttelte Start-up verschwieg aber den Vorfall und informierte die Öffentlichkeit erst am Dienstag. Es gehe um Namen, E-Mail-Adressen und Telefonnummern von Nutzern rund um die Welt, erklärte Uber.

Außerdem hätten sich die Angreifer auch Zugriff auf Daten von etwa sieben Millionen Uber-Fahrern verschafft. Es seien nach bisherigen Erkenntnissen aber keine Kreditkartendaten oder Informationen zu Fahrten gestohlen worden, betonte die Firma.

Schweigegeld

Statt Behörden oder Betroffene zu informieren, bezahlte Uber den Hackern 100.000 Dollar (rund 85.000 Euro), damit sie die gestohlenen Daten vernichten, berichteten der Finanzdienst Bloomberg und die "New York Times". Die New Yorker Staatsanwaltschaft leitete ein Ermittlungsverfahren zum Hackerangriff ein.

Nur wenige Stunden nach der Enthüllung gab es die erste Klage gegen Uber. Ein Mann aus Los Angeles wirft der Firma unter anderem vor, Daten von Fahrern und Passagieren nicht ausreichend geschützt zu haben. Er will eine Sammelklage vieler Betroffener auf die Beine stellen.

Uber gehe davon aus, dass die Informationen nicht verwendet worden seien, hieß es. Die Hacker seien laut dem Bericht durch einen schweren Fehler des Unternehmens an die Daten gekommen. Offenbar haben einige Angestellte unabsichtlich ihre Login-Daten über die Code-Plattform Github veröffentlicht, was den Angreifern Zugriff auf die Datenbanken des Fahrtendienstes ermöglichte. Uber-Sicherheitschef Joe Sullivan und ein weiterer Manager verloren ihre Jobs, wie Uber weiter mitteilte. Sullivan war zuvor Sicherheitschef bei Facebook.

Eine ehemalige Anwältin der US-Handelskommission FTC übt schwere Kritik an Uber.

Die Vertuschung wirft einen weiteren Schatten auf die Ära des langjährigen Uber-Chefs Travis Kalanick, die von vielen Skandalen um den aggressiv auftretenden Fahrdienstvermittler geprägt war. Uber hatte bei der rasanten internationalen Expansion in vielen Ländern gegen geltende Regeln verstoßen. Zuletzt sorgte auch eine Klage der Google-Schwesterfirma Waymo für Aufsehen, in der Uber der Einsatz gestohlener Roboterwagen-Technologie vorgeworfen wird. Kalanick räumte im Sommer unter dem Druck von Investoren den Chefposten. Der Datenklau-Skandal dürfte seine Ambitionen, irgendwann wieder an die Spitze zurückzukehren, endgültig durchkreuzen.

Der neue Uber-Chef Dara Khosrowshahi erklärte am Dienstag zum Hackerangriff und dem nachfolgenden Schweigen: "Nichts davon hätte passieren dürfen und wir werden nicht nach Ausreden dafür suchen." Er selbst habe erst vor kurzem von dem Datendiebstahl erfahren, schrieb der seit Anfang September amtierende Khosrowshahi. "Ich kann die Vergangenheit nicht ausradieren, aber ich kann im Namen aller Uber-Mitarbeiter versprechen, dass wir aus unseren Fehlern lernen werden." Uber ändere die Art, wie es sein Geschäft führe. Es ist die zweite große Altlast der Ära Kalanick, mit der sich Khosrowshahi öffentlich herumschlagen muss: Im September beschloss London, Uber rauszuwerfen, unter anderem weil die Firma nicht genug für die Sicherheit unternehme. Es läuft noch ein Berufungsverfahren.

Relationen

Was das Ausmaß und dem Wert der gestohlenen Daten betrifft, verblasst der Uber-Hack neben anderen Fällen. So verschafften sich bei der Wirtschaftsauskunftei Equifax Unbekannte Zugriff auf die wichtigen Sozialversicherungsnummern von mehr als 40 Prozent der US-Bevölkerung. Und beim Internetkonzern Yahoo waren 2013 Daten zu allen drei Milliarden Nutzer-Accounts gestohlen worden. Doch es ist außergewöhnlich, dass ein Unternehmen einen Datendiebstahl in dieser Dimension Behörden und Nutzern wissentlich verschwieg und einen Deal mit den Angreifern einging.

Besonders brenzlig für Uber könnte werden, dass die Hacker sich auch Zugriff auf Namen und Fahrerlaubnis-Nummern von rund 600.000 Fahrern in den USA verschaffen konnten. Führerscheine werden in Amerika oft als Ausweisdokumente verwendet, was die Daten für Betrüger wertvoll machen kann. Uber werde den Betroffenen nun helfen, nach einem möglichen Missbrauch der gestohlenen Daten Ausschau zu halten, kündigte Khosrowshahi an. Zugleich erklärte er, Uber habe seinerzeit die Zusicherung erhalten, dass die gestohlenen Daten vernichtet worden seien.

Als weitere Maßnahme engagierte Khowrowshahi einen früheren Chefjuristen des US-Geheimdienstes NSA, Matt Olsen, als Berater. Er solle dabei helfen, die Sicherheit bei Uber neu zu gestalten.

Konsequenzen

Für die frühere Uber-Führung könnte dieser Vorfall übrigens auch rechtliche Konsequenzen haben: Das Vertuschen des Einbruchs könnte ein strafbarer Verstoß gegen regulatorische Vorschriften in den USA sein, wie Rechtsexperten betonen. Auch steht im Raum, dass Uber im Zuge dieses Vorfalls Ermittlungsbehörden angelogen hat.

Die Uber-Verantwortlichen hatten allerdings einen einfachen Grund, den Datenklau zu verschweigen: Die Firma war da bereits in Verhandlungen mit der Aufsichtsbehörde FTC wegen eines ähnlichen Vorfalls im Jahr 2014. Damals ging es um Daten von 50.000 Fahrern. Uber wurde vorgeworfen, die Betroffenen nicht rechtzeitig informiert zu haben. Am Ende kam Uber mit einer Strafe von 20.000 Dollar davon. (APA, red, 21.11.2017)